Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

OpenID Connect Spezifikationen: Final: OpenID Connect Core 1.0 incorporating errata set 1

Übersicht

Der ECUI Server kann neben der eigentlichen Web-Applikation auf Wunsch auch einen Single Sign-On (SSO) Server (IdP) auf der Basis des OpenID Connect Protokolls zur Verfügung stellen. So kann rund um die Portal-Lösung eine Single Sign-On Infrastruktur implementiert werden. In einem solchen Szenario verwendet das Portal natürlich selber auch die SSO Infrastruktur.

Für jedes in die SSO Infrastruktur integrierte Produkt können

  • 1:1 die schon für das Portal verwendeten User mit ihren Berechtigungen

oder

  • Login-Berechtigungen unabhängig von den Portal-Usern

verwendet werden. In beiden Fällen werden alle User in einer zentralen Datenbank verwaltet, sie bekommen aber je nach Zugangsberechtigung für die einzelnen Produkte angepasste Berechtigungen. Diese Berechtigungen können entweder manuell administriert oder aus vorhandenen Kundendaten automatisch abgeleitet/generiert werden.

Glossar

OIDC - OpenID Connect

IdP - Identity Provider - In diesem fall, Quino

Anwendung - TODO RP - Relying party

Token - TODO

Abläufe/Authentifizierungsabläufe - TODO

Scope - Ein set an eigenschaften das optional ist/angefordert werden kann

Unterstützte Authentifizierungsabläufe

Endpunkte

Kurze übersicht über alle OIDC Endpunkte.

  • Konfiguration - /.well-known/openid-configuration - Beispiel, siehe Quino10 Sandbox openid-configuration.

  • Token - /api/v1/connect/token

  • authorization - /api/v1/connect/authorize

  • Logout - /api/v1/connect/logout

  • User info - /api/v1/connect/userinfo

  • JWT Konfiguration - /.well-known/jwks

Menu im ECUI

  • Anwendungen - menupunkt kurz beschreiben

  • Authorisierungen - menupunkt kurz beschreiben

  • Tokens - menupunkt kurz beschreiben

layouts von OIDC beschreiben + info in layouts

Anwendung

Damit sich eine externe Anwendung über den Quino IdP anmelden kann. Muss ein Datensatz für diese Anwendung vorhanden sein. Die local Anwendung ist der Datensatz für das login über das ECUI. Es ist empfohlen mit diesem nicht zu experimentieren.

Detail

Client Id

Jeder client benötigt eine client id, diese wird verwendet um den client eindeutig zu identifizieren.

Anzeigenamen

Dieser Name wird dem Benutzer angezeigt wenn er sich Anmeldet.

Anwendungstypen

type confidental -> benötigt client secret

type public -> kein client secret (wird nicht beachtet)

Berechtigungen

JSON array von gegebenen Berechtigungen. Wird eine neue Anwendung erstellt, werden per default alle aufgeführt.

Präfixe

  • ept - Endpunkte Berechtigungen

  • gt - Grant Berechtigungen

  • rst - Antworttyp Berechtigungen

  • scp - Scope Berechtigungen

Liste

Wert

Beschreibung

Empfohlen

ept:authorization

Erlaubt zugriff auf den Authorization-Endpunkt

Ja

ept:device

Erlaubt zugriff auf den Geräte-Endpunkt

Nein

ept:introspection

Nein

ept:logout

Erlaubt zugriff auf den Logout-Endpunkt

Ja

ept:revocation

Nein

ept:token

Erlaubt zugriff auf den Token-Endpunkt

Ja

gt:authorization_code

Erlaubt das verwenden des ‘Authorization Code’ Grant

Ja

gt:client_credentials

Erlaubt das verwenden des ‘Client Credentials’ Grant

Ja

gt:urn:ietf:params:oauth:grant-type:device_code

Erlaubt das verwenden des Gerätetyp Grant

Nein

gt:implicit

Erlaubt das verwenden des Impliziten Grant

Nein

gt:password

Erlaubt das verwenden des Passwort Grant

Nein

gt:refresh_token

Erlaubt das verwenden des Token erneuerungs Grant

Ja

rst:code

Ja

rst:code id_token

rst:code id_token token

rst:code token

rst:id_token

rst:id_token token

rst:none

rst:token

scp:address

Erlaubt das verwenden des scopes Adresse

scp:email

Erlaubt das verwenden des scopes Email

Ja

scp:phone

Erlaubt das verwenden des scopes Telefon

scp:profile

Erlaubt das verwenden des scopes Profil

Ja

scp:roles

Erlaubt das verwenden des scopes Rollen

Weiterleitungs urls

redirecturi -> uri auf die weitergeleitet wird bei erfolgreicher anmeldung

PostLogoutRedirectUris -> uri auf die weitergeleitet wird bei abmeldung

Tokens

TODO

Authorisierungen

Hier sind alle mit dieser Anwendung

Weitere links

  • No labels